Бывшие сотрудники Outabox похитили биометрию австралийских тусовщиков

Правоохранительные органы и федеральные агентства расследуют масштабную утечку персональных данных, связанную с системой распознавания лиц в барах и клубах по всей Австралии. Инцидент высвечивает растущие опасения общества по поводу конфиденциальности, поскольку подобные технологии все шире применяются в учебных заведениях, торговых центрах, на спортивных мероприятиях и в других общественных местах.

Пострадавшей стороной оказалась компания Outabox. Ее головной офис находится в Австралии, но есть также представительства в США и на Филиппинах. Во время пандемии COVID-19 Outabox разработала умную систему распознавания лиц, которая сканировала посетителей и измеряла их температуру тела на входе. Технология также распознавала участников специальной программы самоисключения для людей, страдающих игровой зависимостью.

В сети недавно появился веб-сайт «Have I Been Outaboxed», якобы созданный бывшими сотрудниками компании из Филиппин. На главной странице пользователям предлагают ввести свое имя, чтобы проверить, не была ли их личная информация включена в базу данных Outabox. По заявлению создателей сайта, в корпоративном архиве имелись серьезные недостатки внутреннего контроля безопасности, и данные хранились в незащищенном виде — в обычной таблице. Утверждается, что в распоряжении злоумышленников оказалось свыше 1 миллиона записей.

«Это пример последствий, к которым может привести использование систем распознавания лиц, посягающих на частную жизнь», — заявила Саманта Флореани из некоммерческой организации Digital Rights Watch, занимающейся вопросами безопасности данных. «Защитники конфиденциальности давно предупреждали о рисках, связанных с системами слежки, и утечка личных данных — один из них».

Согласно сайту Have I Been Outaboxed, в результате утечки оказались скомпрометированы биометрические записи, сканы водительских удостоверений, личные подписи, сведения о членстве в клубах, адреса, дни рождения, номера телефонов и журналы посещений разных заведений. Утверждается также, что Outabox экспортировала данные компании IGT — поставщика игровых автоматов.

Владельцы сайта опубликовали фото, подпись и отредактированное водительское удостоверение одного из основателей Outabox. Также они выложили отредактированный снимок экрана, который, судя по всему, демонстрирует внутреннюю базу данных компании.

Полиция Нового Южного Уэльса отказалась делиться подробностями расследования. Однако правоохранители заявили , что совместно с федеральными и региональными ведомствами арестовали 46-летнего мужчину в пригороде Сиднея. Ожидается, что ему будет предъявлено обвинение в вымогательстве, но о его личности и причастности к делу ничего неизвестно.

Ресурс Have I Been Outaboxed, который на момент написания этого материала продолжает работать, утверждает, что Outabox прекратила выплачивать зарплаты своим разработчикам на Филиппинах. Как известно, многие компании в сфере ИИ нередко привлекают недорогую рабочую силу из других стран, в том числе с Филиппин, для обслуживания своих систем.

Владельцы сайта призывают любого, чьи данные фигурируют в утечке, обращаться в соответствующие заведения с требованием удалить системы Outabox. На сайте перечислены 19 заведений-клиентов организации.